Windows-2003服務(wù)器系統(tǒng)安全加固配置手冊

Windows_2003服務(wù)器系統(tǒng)平安加固配置手冊

目

錄

Windows2003平安加固配置手冊1

關(guān)鍵詞：4

摘

要：4

縮略語：4

參考標(biāo)準(zhǔn)及其資料：4

1概述5

2平安加固內(nèi)容5

3客戶信息調(diào)查5

4邊界及物理平安5

5升級與補(bǔ)丁5

6操作系統(tǒng)加固6

6.1帳號平安及策略6

6.2刪除各類共享7

6.3審計7

6.4服務(wù)8

6.5防DoS設(shè)置9

6.7IPSEC配置9

7IIS加固9

8其他平安配置10

9資源下載10

關(guān)鍵詞：

Windows2003、加固、DDoS

摘

要：

本手冊主要描述了建立WindowsNT系列操作系統(tǒng)平安加固配置標(biāo)準(zhǔn)，并以此標(biāo)準(zhǔn)為指導(dǎo)，配置和諦視客戶WindowsNT系列服務(wù)器的平安性；降低系統(tǒng)存在的平安風(fēng)險，確保系統(tǒng)平安牢靠的運(yùn)行。

縮略語：

無

參考標(biāo)準(zhǔn)及其資料：

資料名稱作者發(fā)布日期查閱渠道

《windowsserver2003黑客大曝光》JoelScambray2004.9

《Windowsserver2003平安指南》

微軟網(wǎng)站

《Windows平安加固》

網(wǎng)上文章1概述

隨著計算機(jī)互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)應(yīng)用的普及，網(wǎng)絡(luò)規(guī)模、網(wǎng)上計算機(jī)數(shù)量均呈指數(shù)型增長，在人們享受到網(wǎng)絡(luò)的便利快捷的同時，各種各樣的攻擊和病毒也更加猖狂，網(wǎng)絡(luò)的平安防護(hù)更加重要。本文檔主要說明在平安防護(hù)中基于windows平臺的加固策略。當(dāng)前版本適用于WindowsNT系列，主要以Windows2003為主來。平安加固配置中部分加固配置可以考慮運(yùn)用平安模板來實(shí)現(xiàn)，以減輕工作量。

2平安加固內(nèi)容

客戶環(huán)境調(diào)查

邊界及物理平安

升級與補(bǔ)丁

操作系統(tǒng)加固

IIS加固

其他平安配置

3客戶信息調(diào)查

客戶網(wǎng)絡(luò)環(huán)境（如：服務(wù)器前有沒有fw，有些什么服務(wù)器）

硬件信息

操作系統(tǒng)信息（版本，補(bǔ)丁狀況）

IIS的版本

主機(jī)是否在一個windows域里

是否運(yùn)用數(shù)據(jù)庫，什么數(shù)據(jù)庫

是否須要遠(yuǎn)程管理

是否須要終端訪問服務(wù)

4邊界及物理平安

設(shè)置邊界防火墻只允許訪問服務(wù)器的必要端口；部署防衛(wèi)DoS的功能；阻擋服務(wù)器發(fā)出的主動連接

設(shè)置BIOS密碼

在BIOS里設(shè)置系統(tǒng)只能從硬盤啟動，不允許從軟盤和CD-ROM啟動

至少創(chuàng)建兩個NTFS分區(qū)，一個用來存放系統(tǒng)文件（C盤），一個用來存放數(shù)據(jù)（如E盤）

卸載不須要的組網(wǎng)協(xié)議

5升級與補(bǔ)丁

大企業(yè)，帶SUS（軟件升級服務(wù)）包的SMS（系統(tǒng)管理服務(wù)器），微軟出品

中小企業(yè)，SUS的獨(dú)立版本

個人用戶，MBSA（微軟基準(zhǔn)平安分析器）；Reskit工具包里的srvinfo

第三方工具，Shavlik公司的HFNetChkPro

6操作系統(tǒng)加固

帳號平安及策略

刪除各類共享

審計

服務(wù)最小化

防DoS設(shè)置

配置IPSec過濾器

6.1帳號平安及策略

密碼策略

密碼必需符合困難性要求：啟用

密碼長度最小值：

8個字符

密碼最長存留期：

70天

密碼最短存留期：

30天

強(qiáng)制密碼歷史：

3個記住的密碼

帳戶鎖定閥值：

5次無效登陸

帳戶鎖定時間：

15分鐘

復(fù)位帳戶鎖定計數(shù)器：

15分鐘之后

Guest及administrator帳號管理

給guest帳號設(shè)置一個足夠困難的密碼；

將guest帳號改名，并且禁用guest帳號；

禁止Guest帳號本地登錄和網(wǎng)絡(luò)登錄的權(quán)限。（打開“本地平安策略”-“本地策略”-“用戶權(quán)利指派”，在“拒絕本地登陸”和“拒絕從網(wǎng)絡(luò)訪問這臺計算機(jī)”中添加guest帳號）

為administrator改名，盡可能隱藏信息，防止口令揣測等攻擊。

其他相關(guān)策略

刪除無用帳戶，盡可能削減系統(tǒng)平安隱患；

隱藏限制臺上次登陸用戶名

HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionwinlogon

鍵值：DontDisplayLastUserName

類型：GEG_SZ

值：1

從通過網(wǎng)絡(luò)訪問此計算機(jī)中刪除Everyone組;

在用戶權(quán)利指派下，從通過網(wǎng)絡(luò)訪問此計算機(jī)中刪除PowerUsers和BackupOperators;

為交互登錄啟動消息文本。

啟用不允許匿名訪問SAM帳號和共享;

啟用不允許為網(wǎng)絡(luò)驗(yàn)證存儲憑據(jù)或Passport;

啟用在下一次密碼變更時不存儲LANMAN哈希值;

啟用清除虛擬內(nèi)存頁面文件;

禁止IIS匿名用戶在本地登錄;

(用戶權(quán)限指派-〉拒絕本地登錄-〉添加IUSER_XXX)

啟用交互登錄不顯示上次的用戶名;

從文件共享中刪除允許匿名登錄的DFS$和COMCFG;

禁用活動桌面

6.2刪除各類共享

關(guān)閉NetBIOS

網(wǎng)絡(luò)和撥號連接-本地連接屬性-Internet協(xié)議-屬性-高級-選項(xiàng)-Wins里選中“禁用tcpip上的netbios”

確定生效后，TCP139

UDP137138將被關(guān)閉。

網(wǎng)絡(luò)和撥號連接-本地連接屬性中，取消選中“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”

確定生效后，TCP445上將不再供應(yīng)文件和打印共享服務(wù)。

KeyHKLMSystemCurrentControlSetServicesNetBTParameters添加鍵值：SMBDeviceEnabled

類型REG_DWORD：值：0

重新啟動系統(tǒng)后，TCP445將被關(guān)閉

刪除系統(tǒng)默認(rèn)共享

刪除ADMIN$,C$,D$,E$......等：

HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters

添加鍵值：Autoshareserver（2000Professional應(yīng)添加Autosharewks）

類型：REG_DWORD

值：0

添加后應(yīng)重啟server服務(wù)或重啟系統(tǒng)使之生效。

對匿名連接進(jìn)行限制

KeyHKLMSYSTEMCurrentControlSetControlLsa

鍵值：restrictanonymous

類型：REG_DWORD

值：1

6.3審計

審核帳戶管理

勝利，失敗

審核帳戶登陸事務(wù)

勝利，失敗

審核系統(tǒng)事務(wù)

勝利，失敗

審核特權(quán)運(yùn)用

勝利，失敗

審核對象訪問

勝利，失敗

審核登陸事務(wù)

勝利，失敗

審核策略更改

勝利，失敗

gpedit.msc-新加平安模版-事務(wù)日志

日志類型

日志大小

覆蓋策略

應(yīng)用程序日志

15488K

覆蓋早于30天的日志

平安日志

15488K

覆蓋早于30天的日志

系統(tǒng)日志

15488K

覆蓋早于30天的日志

6.4服務(wù)

必不行少的服務(wù)：

DNSClient

EventLog

LogicalDiskManager

Plug&Play

ProtectedStorage

SecurityAccountsManager

依據(jù)實(shí)際，須要的服務(wù)：

NetworkConnectionsManager

RemoteProcedureCall

RemoteRegistryService

RunAsService

域限制器須要的服務(wù)：

DNSServer

FileReplicationService

KerberosKeyDistributionCenter

NetLogon

NTLMServiceProvider

RPCLocator

WindowsTime

TCPIPNetBIOShelper

Server(供應(yīng)共享資源時或者運(yùn)行AD時)

Workstation(連接共享資源時)

IIS須要的服務(wù)：

IISAdminService

ProtectedStorage

WorldWideWebPublishingService

Windows2003不能刪除的服務(wù)：

Eventlog

PlugandPlay

RemoteProcedureCall(RPC)

SecurityAccountManager(SAM)

TerminalServices(Web服務(wù)器不應(yīng)安裝)

WindowsManagementInstrumentationDriverExtension

應(yīng)當(dāng)去掉的服務(wù)：

IndexingService

FTPPublishingService

SMTPService

Telnet

其他服務(wù)不在列舉自行發(fā)覺吧。。。。

6.5防DoS設(shè)置

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]

SynAttackProtect=dword00000002

EnablePMTUDiscovery=dword00000000

NoNameReleaseOnDemand=dword00000001

“EnableDeadGWDetect”=dword00000000

EnableICMPRedirects=dword00000000

“InterfacePerformRouterdiscovery=dword00000000

(NetBtParameters)NoNamereleaseOnDemand=dword00000001

KeepAliveTime=dword00300000

PerformRouterDiscovery=dword00000000

TcpMaxConnectResponseRetransmissions=dword00000002

TcpMaxHalfOpen=dword00000100

TcpMaxHalfOpenRetried=dword00000080

TcpMaxPortsExhauted=dword00000001

6.6系統(tǒng)檢查

6.7IPSEC配置

依據(jù)須要配置

7IIS加固

IIS虛擬根書目

把IIS虛擬根書目（如：CInetpub）挪到其次個NTFS分區(qū)（比如E盤），避開Unicode和二次解碼攻擊。運(yùn)用Reskit工具包里的robocopy工具和SECMOVE參數(shù)，以保證復(fù)制ACL表

敏感書目ACL

運(yùn)用cacls工具設(shè)置Web服務(wù)器卷上%systemroot%子書目及下級子書目的ACL為“SystemFull””AdministratorsFull””Everyoneread”

關(guān)閉父路徑設(shè)置項(xiàng)

IISAdmin-屬性-主書目-應(yīng)用程序設(shè)置-配置-應(yīng)用程序選項(xiàng)-棄選啟用父路徑

刪除多余項(xiàng)目

關(guān)閉Administration（系統(tǒng)管理）站點(diǎn)并刪除虛擬子書目IISAdmin和IISHelp

刪除用不著的映射關(guān)系（如.htr和.printer映射）

找出并刪除ISAPI應(yīng)用程序中的RevertToSelf調(diào)用，防止攻擊者提升IUSR或IWAM帳號的權(quán)限；把IIS的應(yīng)用程序愛護(hù)選項(xiàng)設(shè)置為Medium或High

HTML和腳本文件里包含敏感文件或者子書目的路徑名，須要刪除

自定義返回給客戶端的腳本錯誤消息

在腳本錯誤消息中，選中“發(fā)送文本錯誤消息給客戶”，在下面的文本框中自定義一段錯誤提示。

其它相關(guān)設(shè)置

考慮是否真的須要遠(yuǎn)程對Web服務(wù)器進(jìn)行管理，假如真的須要，為Web服務(wù)器特地建立一個單一功能的遠(yuǎn)程管理系統(tǒng)，部署在與Web服務(wù)器同一網(wǎng)段內(nèi)某個位置

可以考慮安裝UrlScan工具，以便限制惡意的HTTP調(diào)用